Появляется вредоносный скрипт на сайте =(
Страницы: 1 2 След.
Появляется вредоносный скрипт на сайте =(
Всем привет, есть сайт money-new.ru так вот вчера начал появляться сторонний скрипт на сайте а именно в header.php и в двух папках css и js появляются сторонние скрипты!!!
Подскажите как это остановить?
header.php вызывается практически на всех страницах сайта, вот думаю если изменить его название то это поможет? Или взломщик имеет доступ ко всем php на моём сайте?
Скачайте самые новые фильмы торент

Бесплатная контекстная реклама

Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно  /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php,  utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php,    start.php,     db.php,      defines.php,    model.php,   view.php,    css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/  
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php, utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php, start.php, db.php, defines.php, model.php, view.php, css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/
У меня тоже свой сервер дома. Но вы не совсем поняли, я очистил от вируса ещё вчера. Всё было нормально, но утром сного появился только уже с другими файлами и другим кодом... Сейчас всё очистил, но боюсь повторения! Вот суть вопроса состоит в том, как защитить себя? Это иньекция или кто то получил доступ к файлу? Если иньекция то можно же просто изменить название с header.php на что то другое и по логике взломщик не сможет определить новое название? Или я не в том направлении думаю)
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
Открой свой магазин за 5 минут, их товары, их обслуживание, с тебя только клиенты >>> РЕГИСТРАЦИЯ <<<
Скрин выплат по запросу.
Рефералам помощь.
Цитата
xschneider пишет:
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
У меня стоит блок на доступ к фтп всем кроме моего второго пк, точнее никто из инета не сможет войти на фтп только по локалке и только один ip
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
В принципе, согласен. Если в одном из файлов вредоносный код остался, он может, допустим при заходе на сайт-при обработке этого скрипта, создавать заново файлы и раскидывать их по папкам
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
А как код может приблизительно выглядеть? И в каком расширении файла он залазеет? в php? Скорее всего в кроновский скрипт могли внести да? потому что без крона как он будет выполняться в определённое время?
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Цитата
xschneider пишет:
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Кстати да, надо посмотреть) Это один из вариантов!
[COLOR=#005187]Troj/JsRedir-OY[/COLOR] Вот сам вирус.
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Цитата
xschneider пишет:
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Да, вроде так, но у меня на серваке перестала работать такая команда, поэтому я смотрю в /etc/cron*
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
12:47 Продажа группы в ВК 
12:41 Яндекс выдача 22 июля 2019 | У нас выдача, а у вас? 
11:53 Плохой рост сайта 
11:52 Выплаты за июнь 
08:36 traflinks 
02:00 Ищу помощь по переезду с домена на домен 
01:02 Нет доступа в админку 
12:22 Выйти в топ 
11:02 Массовые рассылки по Whatsapp 
09:33 Продвину сайт качественными ссылками. Рост посещаемости, позиций и ИКС. Крауд ссылки недорого + скидки. 
09:27 Сервис услуг в YouTube, Вконтакте, Instagram, Twitter, Facebook, Одноклассники, Google+ 
09:12 Восстанавливаю Целиком и Полностью сайты из Вебархива (Webarchive) 
01:15 Качественные прогоны сайтов по доступным ценам - профили, крауд, статейные 
20:20 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 
13:01 Кому пришла выплата с AdSense? 
12:18 Тема для "стесняшек" 
12:03 Как задать размеры у файла iframe? 
09:49 Правообладатели кинопоиск 
13:36 Как вам живётся без меня (Web Guru) - ? Что нового в мире Seo-Шмео - ? 
11:30 Срочно! МОжно ли пользоваться этими гарант-сервисами? 
21:15 Google June 2019 Core Update